网络安全公司Intezer发布了一份报告,概述了威胁行为者在2020年期间使用Go恶意软件的情况。这包括对代码连接和IoC的分析,以了解多年来一直活跃的恶意软件和从未活跃过的恶意软件被公开报道。该报告指出,自2017年以来,以Go编程语言编码的恶意软件变种数量在过去几年中急剧增加了约2,000%。这一发现突出并证实了恶意软件生态系统中的一个普遍趋势,即恶意软件作者已经慢慢地从C和C++转向Go。第一个基于Go的恶意软件是在2012年发现的,比Go在恶意软件世界流行起来早了几年。该报告指出,在2019年之前,发现用Go编写的恶意软件是一种罕见的现象,而在2019年期间,它已成为一种日常现象。如今,Go语言已被恶意软件广泛采用。国家黑客组织(APT)、网络犯罪运营商甚至安全团队都使用这种语言,并经常使用它来创建渗透测试工具包。Golang的“人气”骤增,主要有以下三个原因。首先是Go支持轻松的跨平台编译流程;这允许恶意软件开发人员编写一次代码并从同一代码库为多个平台编译二进制文件,从而允许他们针对Windows、Mac和Linux,这是许多其他编程语言通常不具备的多功能性。第二个原因是基于Go的二进制文件仍然难以被安全研究人员分析和逆向工程,这使得基于Go的恶意软件的检测率很低。第三个原因与Go对网络数据包和请求工作的支持有关。Intezer解释说:“Go有一个编写良好的网络堆栈,易于操作。Go已经成为云计算的编程语言之一,许多云原生应用程序都是用它编写的。例如,Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。考虑到创建Go的原因之一是为了发明一种更好的语言来替代Google使用的内部C++Web服务,这是有道理的。“由于恶意软件经常篡改、组装或发送/接收网络数据包,Go在一个地方为恶意软件开发人员提供了他们需要的所有工具,而且很容易理解为什么许多恶意软件编码人员会放弃C和C++并使用它.Intezer指出,许多恶意软件(家族)是针对Linux和物联网设备的僵尸网络,它们可以安装加密矿工或将受感染的机器加入DDoS僵尸网络。此外,使用GoAuthored勒索软件似乎也变得越来越普遍。一些最大的示例2020年最流行的基于Go的威胁包括(按类别):APT29组去年部署了其基于Go的WellMess恶意软件的新升级版本。电子犯罪恶意软件:GOSH-Carbanak组在去年8月部署了一种用Go编写的名为GOSH的新RAT。Glupteba-2020年出现了新版本比以往任何时候都更先进的Glupteba加载程序的n。Bitdefender发现一种针对运行OracleWebLogic.CryptoStealer.Go的Linux服务器的新RAT-2020年出现了一种新的改进版本的CryptoStealer.Go恶意软件,它针对加密货币钱包和浏览器密码。此外,2020年还发现了一个用Go语言编写的剪贴板窃取程序。用Go编写的新勒索软件变种:RobbinHoodNefilimEKANS鉴于其最近的发现,Intezer和其他人预计Golang的使用率在未来几年将继续上升并加入C、C++和Python作为未来恶意软件编码的首选编程语言。本文转自OSCHINA文章标题:基于Go编写的恶意软件数量增长2000%本文地址:https://www.oschina.net/news/131384/go-malware-2020
